Nový ransomware šifruje súbory a žiada 50 dolárov, experti ho zlomili

DSL.sk, 27.3.2009

Na Internete sa v marci objavil nový trojan z kategórie tzv. ransomwaru, škodlivého kódu vydierajúceho užívateľa a požadujúceho výkupné, ktorý šifruje užívateľove súbory.

Na rozdiel od najznámejšieho ransomwaru Gpcode nový trojan označovaný antivírusovými spoločnosťami napríklad ako Fakeale, Xrupter alebo FileFix výrazne zlepšil techniky používaného sociálneho inžinierstva a snaží sa maskovať, že užívateľa v skutočnosti vydiera. Zároveň používa ale nedokonalú metódu šifrovania.

Trojan po infikovaní PC zašifruje dáta užívateľa, šifruje všetky nájdené súbory s desiatkami koncoviek vrátane napríklad .doc, .jpg, .xls, .ppt, .mp3 a .pdf. Výkupné ale nežiada priamo, správa sa podobne ako trojany podporujúce falošné antivírusové programy.

Po zašifrovaní súborov užívateľa pop-upom s titulkom System Message a maskujúcim sa ako oznam operačného systému upozorní, že Windows detekovali poškodené súbory a zobrazí zoznam niekoľkých súborov, ktoré zašifroval. Tlačidlo Repair v pop-upe otvorí užívateľovi webovú stránku s možnosťou stiahnutia nástroja FileFix Professional.

Tento nástroj po nainštalovaní nájde a "opraví", čiže dešifruje, jeden šifrovaný súbor, pre opravenie ostatných je ale potrebné zakúpiť plnú verziu softvéru za 50 dolárov.

Ransomware ale používa primitívnu metódu šifrovania, keď na celý súbor aplikuje operáciu XOR so štvorbajtovým kľúčom, ktorý uloží na koniec súboru. Použitú metódu šifrovania zistila ako prvá spoločnosť FireEye, k dispozícii je už viacero nástrojov dešifrujúcich šifrované súbory. Odkazy na ich stiahnutie je možné nájsť v článku FireEye popisujúcom tento ransomware.

Ransomware Gpcode šíriaci sa na Internete minulý rok využíval k šifrovaniu užívateľov kombináciu RC4 s asymetrickým RSA algoritmom a bol tak kryptograficky bezpečný, v prípade ideálnej implementácie nebolo možné súbory dešifrovať bez získania prístupu k privátnemu RSA kľúču vo vlastníctve autora ransomwaru.

Podrobnú schému Gpcode sme priniesli v tomto článku.


Najnovšie články:



Diskusia:

betari Od: Adrique | Pridané: 27.3.2009 12:13 tak to su teda pekni betari...ak by sa mi, ale nieco podobne stalo s mojimi subormi, skor by som povedal, ze su to pekne k...y Odpovedať Známka: -2.7 Hodnotiť:

Re: betari Od: PCnity3 | Pridané: 27.3.2009 13:22 Mozno by ta to prinutilo rozmyslat nad alternativnymi OS. Odpovedať Známka: -5.2 Hodnotiť:

Re: betari Od reg.: Composite | Pridané: 27.3.2009 14:01 a čo ti to pomôže ked bude mať linux 90% ako windows, ti zaručujem bude sa diať to isté ;) Ako pri mac os, pokiaľ bol neznámy bol bezpečný, ak sa rozšíril, tak už nie je tak bezpečný, lebo sa oň zaujíma viac a viac útočníkov ;) Odpovedať Známka: 5.0 Hodnotiť:

Re: betari Od: .lubos679679 | Pridané: 27.3.2009 14:11 Ak budu ludia instalovat programy z oficialnych repozitarov, nic im nehrozi. Ak ich budu instalovat tak ako vo Windows, potom im uz nieco hrozi....a hlavne vselijake cracked gamesky. Odpovedať Známka: 2.4 Hodnotiť:

Re: betari Od: suxi | Pridané: 27.3.2009 15:34 no pre windows by ten repozitar bol trochu vacsi Odpovedať Známka: -3.3 Hodnotiť:

Re: betari Od: waveeeee | Pridané: 27.3.2009 17:10 staci mi cracknut FileFix Professional a je to :D Odpovedať Známka: -3.8 Hodnotiť:

Re: betari Od: len tak na okraj | Pridané: 28.3.2009 16:12 prosim ta a ako sa ten program naistaluje na linuxe alebo mac os x?uvedom si ze tieto OS pracuju uplne inak ako windows a vytvorit na nich virus,ktory by sa tak easy siril a aplikoval nie je vobec jednoduche ak mozne. Odpovedať Známka: -6.0 Hodnotiť:

Re: betari Od: ....... | Pridané: 29.3.2009 9:37 ved prave az bude funkcnostou tam kde win tak bude takisto zranitelny podla mna.......stare zname heslo ked nic nerobis nic nepokazis......tak aj ten lunex ma priepastne mensiu softverovu podporu ako win...casom sa mozno bude vyvyjat podobnym smerom, pretoze bude musiet zacat obsahovat dalsie a dalsie pridavne moduly alebo sucasti, ktore mu tie chyby v bezpecnosti urcite zabezpecia a nakoniec sa moze stat to iste, ze bude uplna dzungla a bude tazke ho mat tak jednoducho pod kontrolou ako dnes.... Odpovedať Známka: 6.7 Hodnotiť:

Re: betari Od: len tak na okraj | Pridané: 29.3.2009 11:14 to xces povedat ze mac os x zaostava funkcnostou za windowsom???za tym windowsom,ktory od svojho vzniku sa snazi kopirovat mac os x???uz si z nim niekedy seriozne pracoval??? Odpovedať Známka: -10.0 Hodnotiť:

Re: betari Od: milan.ko | Pridané: 30.3.2009 9:45 Mac OS X v case vzniku Windowsu neexistoval. Odpovedať Hodnotiť:

Re: betari Od: len tak na okraj | Pridané: 30.3.2009 18:32 budeme sa chystat za slovicka?samozrejme ze mac os x neexistoval,existoval iba mac os oficialne predstaveny 24.1.9984,kde bol vtedy windows?? Odpovedať Hodnotiť:

Re: betari Od: 0dee | Pridané: 31.3.2009 0:09 9984 hmmm, pekny vek :) Odpovedať Hodnotiť:

Re: betari Od: .em | Pridané: 27.3.2009 13:25 Keby mi zasifroval .mp3jky, tak ho zabijem aj s windowsom.. :) Odpovedať Známka: 7.6 Hodnotiť:

Re: betari Od reg.: Dr.FeelGood | Pridané: 27.3.2009 14:09 Mas pravdu su to BETAri ... pretoze im to nevyslo bola to asi len beta verzia trojana :D Odpovedať Známka: 7.4 Hodnotiť:

ransomware Od: 0dee | Pridané: 27.3.2009 12:14 boa no a co, tak sa mi to nepodarilo no... Odpovedať Známka: -8.0 Hodnotiť:

Re: ransomware Od: massterko | Pridané: 27.3.2009 16:33 dobre videa ak dakto chce bez pass http://download.sk.hellshare.com/starr1/234725/ Odpovedať Známka: -10.0 Hodnotiť:

ransomware Od: Peppeq | Pridané: 27.3.2009 12:24 ...ty K...A !:) Odpovedať Známka: -10.0 Hodnotiť:

k....y su to Od: anténa | Pridané: 27.3.2009 13:22 ja som im tiez poslal 50euro nech mi to spravia a potom mi dosiel mail ze unfortunatly, the service is unavailable in your country... Odpovedať Známka: 6.0 Hodnotiť:

zlava Od: .em | Pridané: 27.3.2009 13:23 FireEye pyta 49.95 usd... :) Odpovedať Známka: 6.0 Hodnotiť:

hmhmhm Od: lobo | Pridané: 27.3.2009 13:41 lol 4 bytovy xor :-) trochu slabe Odpovedať Známka: 5.7 Hodnotiť:

Re: hmhmhm Od: _xxx | Pridané: 27.3.2009 13:45 aj keby bol 32 byte-ovy, je to trapas Odpovedať Známka: 1.1 Hodnotiť:

Re: hmhmhm Od reg.: Composite | Pridané: 27.3.2009 14:02 a čo 256 ;)? Odpovedať Známka: -4.3 Hodnotiť:

Re: hmhmhm Od: lobo | Pridané: 27.3.2009 15:44 :-) Odpovedať Známka: -3.3 Hodnotiť:

Re: hmhmhm Od reg.: hogo1 | Pridané: 27.3.2009 14:48 nie trochu, ale poriadne slabe ;)) Odpovedať Známka: 3.3 Hodnotiť:

zdrojovy kod Od: archanielg | Pridané: 27.3.2009 14:50 tu je :) gabonator.yweb.sk /sim /index.php?kryptonit Odpovedať Známka: -4.3 Hodnotiť:

Že beťári... Od reg.: Eagle | Pridané: 27.3.2009 19:50 Niekto by mal týmto beťárom riadne šliapnuť na gule, aby ich takéto debiliny nenapádali príliš často. By som im asi ručne zašifroval tváre a dešifroval by ich len plastický chirurg za 50$ :-) Odpovedať Známka: 5.7 Hodnotiť:

Ze sifrovanie Od: dr.LOL | Pridané: 28.3.2009 20:31 To som raz tak "hackol" jeden software na testovanie ziakov. Subory z otazkami boli sifrovane stylom [CHAR] + 1. Odpovedať Známka: 1.4 Hodnotiť:

Pridať komentár